11set
ilustração para conteúdo sobre segurança wordpress

Segurança WordPress: 9 Práticas Essenciais para Proteger seu Site

Por: Andrei L. setembro 11, 2019

O WordPress é a base de mais de 34% de todos os sites na internet. É por isso que o CMS costuma ser alvo de agentes maliciosos, que podem acabar prejudicando e apagando projetos inteiros. No conteúdo de hoje, você vai aprender 9 ações práticas de Segurança WordPress para fortificar e proteger seu site de qualquer tentativa de ataques indesejados e problemas decorrentes dele.

1 – Mantenha seu WordPress Atualizado

Pode parecer trivial, mas o primeiro passo é também um dos mais importantes: sempre atualizar a versão do WordPress que você está usando. 

Certifique-se de ter a mais recente, já que a ferramenta também terá recursos mais preparados para enfrentar qualquer tipo de ameaça na web. 

2 – Use Credenciais Criativas de Login e Senha 

Observe qual tipo de nome de usuário e senha você está usando para fazer login no painel de controle do seu site WordPress. 

Saiba que, se você está usando algo simples como admin para o usuário e 123456 para a senha de acesso, está correndo um grande risco de invasão.

É recomendado que você mude o nome do administrador e a senha de acesso à conta. Se quiser, você também pode criar um novo Admin, com um novo nome de usuário e senha. E, com isso, apagar o usuário antigo. 

Para isso, siga os passos abaixo:

  1. Navegue até Usuários (Users) >> Adicionar Novo (Add New).
    adicionar novo usuário no wordpress

  2. Crie um novo usuário (Username) e coloque a permissão no campo Role (Papel) em Administrador (Administrator). Depois, clique em Adicionar Novo Usuário (Add New User).
    criar novo password no wordpress para novo admin

  3. Faça um novo login no WordPress com o novo nome de usuário.
  4. Retorne para a seção de Usuários (Users) e apague o Admin antigo.
    apagar admin e usuário antigo no wordpress

Quanto às senhas, faça uma combinação de números, letras e caracteres especiais que façam sentido a você. O importante é que ela seja variantes em letras maiúsculas e minúsculas, para reforçar a segurança. 

3 – Use Autenticação de Dois Fatores (A2F)

A tecnologia de autenticação de dois fatores é uma camada de segurança extra para fazer login em qualquer página. Com o WordPress, não é diferente. 

Tudo o que você precisa é ter um login e senha de acesso, além de um aplicativo de verificação instalado no seu smartphone e um plugin no WordPress. 

No painel de controle do CMS, vá até Plugins >> Adicionar Novo >> Google Authenticator. Depois de instalar e ativar o plugin, vá até Configurações (Settings) e complete a A2F habilitando cada usuário (User) que você tiver. 

Se preferir, você também pode usar o plugin Wordfence Security, o QR Code Authenticator ou o WordPress 2SV

4 – Desabilite o Relatório de Erro PHP

Um relatório de erro PHP é útil se você está desenvolvendo seu próprio site manualmente. 

É com ele que você sabe que tudo está funcionando perfeitamente ou algo não está certo no script de desenvolvimento (ou em qualquer parte da programação da página).

Não é recomendado deixar esse relatório à vista de outros usuários, pois eles podem se aproveitar de brechas para tentar invadir seu sistema. Você mesmo pode desabilitar o relatório de erro pelo painel de controle do WordPress.

Se isso não for possível, você também pode fazer pelo Gerenciador de Arquivos da sua hospedagem. Lá, encontre o arquivo config.php. E, então, edite o arquivo wp-config.php. Use o código abaixo (copie e cole na referida pasta) para desligar o relatório.

error_reporting(0);
@ini_set(‘display_errors’, 0);

 

5 – Não Use Temas nem Plugins Piratas

O WordPress tem uma biblioteca gigantesca de temas e plugins para você usar. Então, não faz sentido instalar temas e plugins de origem duvidosa. 

A dica aqui é sempre evitar qualquer fabricante ou desenvolvedor que pareça suspeito e driblar qualquer função pirata.

O perigo está no fato de que você pode fazer download e temas e plugins piratas de qualquer lugar da web. 

Mas o que pode passar despercebido é que eles podem vir infectados com malwares ou links maliciosos escondidos. E isso é extremamente perigoso para a segurança do WordPress.

ilustração sobre a importância de fazer backup em um site

6 – Faça Backups com Frequência

Fazer backups regularmente é uma forma de você sempre ter uma cópia reserva e segura do seu site. 

Na usabilidade diária do WordPress, problemas, como bugs em plugins, temas e ataques maliciosos, podem acontecer a qualquer momento. Então, é útil ter um backup assegurado. 

Para criar backups no WordPress, você pode contar com a ajuda de dois plugins:

Se preferir, você fazer um backup manualmente. Para isso, é preciso fazer o download dos arquivos do WordPress e exportar o banco de dados dele. Além disso, pode usar a ferramenta de backup do seu serviço de hospedagem de sites. 

7 – Desabilite a Edição de Arquivos

O WordPress conta com um recurso embutido de edição de arquivos, algo que facilita o gerenciamento do site pelo usuário. Mas, junto com a função, agentes maliciosos podem invadir esse sistema e por tudo a perder. 

Você pode fazer com que o Editor de Arquivos (File Editor) fique inacessível para qualquer usuário estranho. Tudo o que você precisa fazer é inserir a linha de código abaixo no arquivo wp-config.php

define( 'DISALLOW_FILE_EDIT', true );

8 – Use Sistemas Anti-Malwares

Como forma de aprimorar a proteção do WordPress, é sempre recomendado usar um sistema anti-malware. 

Para isso, a sugestão é instalar plugins como o Wordfence, que escaneia e faz uma análise completa de todas as conexões que entram e saem do seu site.  

O diferencial do Wordfence é que ele tem opções para escaneamentos manuais e automáticos. 

Além de também contar com várias configurações para cada caso particular de infecção digital, como a remoção de arquivos modificados e problemáticos. Fora que o plugin é grátis.

Outras alternativas de plugins anti-malware são:

  • Sucuri Security. Protege seu site contra ataques DOS. Também cria uma lista de emails e conexões perigosas, bloqueando acessos e escaneando seu site a procura de malwares. Se algo malicioso for detectado, você recebe uma mensagem por email e as instruções do quê fazer na sequência.  
  • BulletProof Security. Oferece um firewall adicional, além de segurança de banco de dados. Não oferece um sistema anti-malwares por escaneamento como os anteriores; em compensação, tem como destaque a configuração facilitada com apenas alguns cliques. 

9 – Use Plugins de Segurança WordPress

Plugins são a forma mais prática e rápido de adicionar novos recursos em um site WordPress. No quesito segurança, não é diferente. Abaixo estão 3 sugestões de plugins de segurança WordPress para proteger seu projeto online.

All In One WP Security & Firewall

plugin de segurança wordpress All In One Security

O All In One WP Security & Firewall adiciona proteção extra e um firewall exclusivo para o seu site. Ele verifica vulnerabilidades da página e mede, por meio de um sistema de classificação, o nível de segurança de um site. 

Outras características são:

  • Detecta se algum usuário tem o nome definido como “admin”, mudando-o automaticamente para um nome da preferência do usuário.
  • Identifica nomes de usuários parecidos ou iguais, alertando para a necessidade de troca para um nome mais apropriado e de maior segurança.
  • Tem uma ferramenta de fortalecimento de senhas, para ajudar o usuário a criar acessos mais complexos.
  • Monitora as conexões de entrada e saída do site, permitindo que certos números de IPs sejam permitidos ou bloqueados de acessá-lo.

RapID Secure Login 

plugin para segurança do wordpress RapID Secure Login

O RapID Secure Login é uma alternativa de plugin de autenticação de dois fatores. Com ele, é possível aplicar uma nova camada de proteção com uma senha extra e um código de autorização de acesso de usuários.

Outros destaques são:

  • Configuração e uso em alguns minutos com o escaneamento de um código QR.
  • Não depende de mensagens SMS, suscetíveis a interceptação, para enviar códigos de segurança.
  • Permite usar um dispositivo adicional, como smartphones e tablets, para backups.
  • Usa criptografia avançada de 2048-bit, amplamente usada por sites governamentais e grandes corporações. 

iThemes Security

plugin de segurança para wordpress ithemes security

O iTheme Security é especializado em bloquear o WordPress de qualquer tentativa de acesso suspeito. Ele procura por vulnerabilidades no sistema, impede tentativas contínuas de invasão e tem um sistema próprio de reforço de logins e senhas extras.

Outros diferenciais são:

  • Agendamentos de varreduras automáticas todos os dias em busca de malwares e brechas de segurança.
  • Possui Autenticação de Dois Fatores (A2F), configurado com códigos a partir de apps como Google Authenticator e Authy.
  • Função de gerar senhas fortes e com prazo de validade, obrigando o usuário a sempre criar combinações mais complexas.
  • Tem Google reCAPTCHA (proteção contra spammers) e definição de privilégios temporários para certos tipos de usuários e administradores.

Conclusão

Ainda que não exista nenhuma sistema 100% seguro, você sempre pode trabalhar a favor da proteção do seu projeto online. Com as dicas de segurança WordPress mostradas acima, é possível ter um site blindado contra qualquer tipo de ataque ou agente malicioso. Sucesso na sua jornada na internet! 😉

Trackback URL: https://www.weblink.com.br/blog/seguranca-wordpress/trackback/

Deixar resposta:

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *